单点登录sso 解放军信息工程大学

4.7 单点登录,第4章授权与访问控制,4.7.1 基本概念 1.背景1）需求用户希望可以基于最初的访问网络时的一次身份认证，对所有被授权的网络资源进行无缝的访问。2）传统系统中的跨域操作,4.7单点登录,4.7单点登录,3）管理困难，带来安全隐患,4.7单点登录,单点登录系统 SSO（Single Sign On）,对易用性和安全性的考虑 要求把认证功能和权限管理功能集成起来 为不同域的登录提供一致的界面,2.单点登录 减少了用户在不同子域中登录操作的时间，包括减少登录失败的可能性； 用户不必记住一大堆认证的信息，可以提高安全性； 简化系统管理员增加用户帐号或删除用户帐号的操作时间以及降低了修改用户权限的复杂度； 通过功能集成，系统管理员可以很容易地禁止或删除用户对所有域的访问权限而不破坏一致性。从而大大增加了安全性。,4.7单点登录,4.7单点登录,单点登录是一种认证与授权机制的结合技术。用户只需要在网络中主动地进行一次身份认证，随后便可以访问其被授权的所有网络资源，不需要再主动参与其它的身份认证过程。 单点登录系统与应用系统之间是一对多的关系，由统一的登录系统管理用户登录信息，实现了信息共享。,4.7单点登录,从管理的角度，SSO为用户帐号管理提供了简洁统一的界面，使各个子域的操作保持同步一致。,4.7单点登录,4.7.2 单点登录系统,4.7单点登录,Microsoft.NET Passport 由微软公司运行的一种 Web 服务，通过一次登录就可以使用户获得访问很多网站的权限。.NET Passport 是一种联机服务。利用该服务，你可以通过你的电子邮件地址和单一的密码“安全地”登录到任何一个 .NET Passport 参与站点或服务,无需记忆各自的登录名和密码；,.NET Passport标准登录模型,1.初始请求 2 .身份验证重定向 3 .身份验证请求 4 .身份验证应答 5 .身份验证请求 6 .请求的WEB页,用户首先要在 www.passport.com/cn 网站或者在任意的 .NET Passport 参与站点上注册 .NET Passport。,Passport服务器,即票据发放者，扮演经纪人的角色。所有的用户在访问支持Passport协议的WEB站点时，都必须先访问Passport服务器获取相应的票据。,WEB站点：必须是同意并支持Passport协议的WEB参与站点。由Passport管理器(验证票据) 和WEB服务器(和其它的WEB服务器的功能一样，主要是用来管理用户所要访问的资源、相关链接等)组成.,.NET Passport标准登录模型,1.初始请求 2 .身份验证重定向 3 .身份验证请求 4 .身份验证应答 5 .身份验证请求 6 .请求的WEB页,用户向Web站点发送Web页面请求,如果Web站点需要验证用户身份，则使用重定向（Redirect）技术把用户定向到Passport登录服务器。在重定向中包括两个重要的参数，一是用户初始请求站点的唯一站点ID；二是用户身份验证完毕后返回的URL（即用户初始请求的URL）。,Passport登录服务器首先查询站点的唯一站点ID号，如果站点不是Passport参与站点，则返回错误；否则出现一个登录页面，用户需要输入用户名字和口令（可以使用SSL传输）。,.NET Passport标准登录模型,1.初始请求 2 .身份验证重定向 3 .身份验证请求 4 .身份验证应答 5 .身份验证请求 6 .请求的WEB页,Passport登录服务器查询用户数据库，如果用户存在，则为用户生成Cookie，即用户身份验证的标志，它用Passport和站点之间的共享密码加密（每个站点都不同）。,Web站点提取Cookie并交给Passport管理器处理，如果能够解密Cookie，提取Cookie中的用户信息，则用户身份通过。,Web站点返回用户请求的Web页,基于经纪人的单点登录模型(broker-based SSO) (4.7.3 单点登录设计模型)经纪人公共、独立第三方。设置中央认证服务器和数据库。集中认证、用户账户管理。,4.7单点登录,4.7.3 单点登录设计模型 基于经纪人的单点登录模型。（可实施性）对旧系统的改造量比较大。（可管理性）可实现集中式的管理。 代理模型。需要为每个旧系统新添加一个代理，移植比较简单。管理比较难以控制。 代理和经纪人模型。 网关模型。需要通过一台专用的网关才能访问各种应用。易于管理，但不同网关之间的数据库需要同步。 令牌模型。实施比较简单。需要增加新的组件，增加管理负担。,4.7单点登录,一个单点登录方案,通过建立一个证书中心，使每一个合法用户都拥有一个标识其身份的证书，持有证书的用户在授权中心获取相应的授权，从而达到一次登录可以访问多个资源的目的，实现安全单点登录。,4.7单点登录,2. 利用PKI和PMI实现单点登录,4.7单点登录,证书格式：可参考X.509证书格式 授权（票据）：授权应包括用户身份，访问权限，允许访问的期限,4.7单点登录,4.7单点登录,1.客户向证书中心申请证书，将个人信息提供给证书中心。,2.3. 证书中心验证，并生成证书，发布证书，私钥带外交用户。,4. 用户向授权中心提交授权申请，包括访问的资源和权限级别，并私钥签名。,5. 授权中心验证用户签名，审查申请，通过，则授权，返还票据,6. 用户持票据访问内网资源,4.7单点登录,基于网关的单点登录模型 （gateway-based SSO）服务被网关隔离，由网关统一对客户端进行认证、记录，并获得授权。,3. JIT SSO 系统 功能结构 JIT SSO 系统由七个子系统组成，分别是安全客户端、C_Agent、权限认证中心、身份验证服务器、凭证库数据库、数据中心和权限分配中心。,4.7单点登录,系统结构,安全客户端 功能：凭证自动提交和控制C_Agent的使用。 .提供了系统与用户的交互界面，包括单点身份提交界面和二级应用登录界面。 .帮助用户控制对C_Agent的使用。(代理并非对每次应用都是必须的)。,身份验证服务器 .负责对用户的单点身份进行验证。支持证书身份方式。 .用户单点身份验证通过后，系统自动从凭证库中获取对应的凭证，用户就可以使用此凭证访问应用系统。 .身份系统还对用户的身份信息做签名，一旦用户拥有了此签名就表示用户已经通过了基本身份验证，就可以使用C_Agent和权限认证中心进行对授权应用的访问。,凭证库 .系统用SQL 数据库存储所有用户的凭证库信息。 .系统通过判断用户身份来自动从凭证库中获取对应的凭证，任何用户都不可以直接对凭证库进行查看、修改或删除操作。,C_Agent客户端浏览器代理 客户端浏览器代理，负责处理用户的HTTP请求。它对请求重新打包处理，在打包后的数据中增加了用户的身份，并对请求进行加密处理。同时，还负责对收到的数据进行解密处理。,权限认证中心 .是Web 服务器代理，是任何用户访问Web 资源的入口，并且只有具有身份验证服务器签名的用户才能使用此代理进行权限查询。当用户的身份验证存在时，代理才能查询用户请求的资源权限，只有权限允许，用户才能获得期望的资源，否则将拒绝用户的请求。,数据中心 .用LDAP 来存储用户的权限相关信息，包括用户身份信息、数据资源信息和角色信息。 .通过角色建立起用户和资源间的联系，实现基于角色的权限管理模型，保证了权限分配的简单性和合理性。,权限分配中心 .实现对凭证库和数据中心的集中管理。 通过可视化管理界面，方便地管理用户、数据资源、角色和权限分配。 .权限分配中心还负责用户的注册和注销工作。,基于代理的单点登录模型 （agent-based SSO）代理代理程序，在认证系统和客户端认证方法间“翻译”。,4.7单点登录,小结,单点登录是一种认证与授权机制，将统一认证技术和访问控制技术结合在一起，实现用户只需要在网络中主动地进行一次身份认证，随后便可以访问其被授权的所有网络资源的系统。 基本模型：基于经纪人基于网关基于代理,思考： P152-5 、6 查阅资料解释：统一身份认证系统,复习,1.什么是访问控制？ 2.访问控制的基本实体及关系？ 3.访问控制与授权的关系？ 4.什么是的PMI（基于属性证书）？（属性证书、PMI、PMI的信任模型） 5.如何基于属性证书进行访问控制？,支撑技术复习,保密、认证、授权与访问控制、管理 .怎么应用加密机制实现信息保密？ .1）实现信息的完整可使用那些机制？怎么做？2）实现实体的身份认证有哪些机制？一次性口令、基于密码技术有第三方参与,